CIO要时常关注与企业云计算密不可分的五个法律问题

位于纽约的Proskauer Rose LLP律师事务所的专利部门的高级合作人和诉讼部门电子证据任务组的成员Nolan Goldberg说,作为一个律师,他担心的云计算服务问题是云计算经常把电子数据从内部IT基础设施转移到由第三方厂商管理的系统。这种数据监护权和潜在的控制权的转变产生了遵守法规的问题。

从法律的角度看,这些问题应该出现在基于云计算的项目的规划阶段。

1.云计算服务对电子证据义务有何影响?
  
诉讼证据义务涉及到诉讼当事人监管或者控制的文件。因此,云计算服务的消费者也许需要保留、搜索和搜集放到云计算中的数据,如果那个数据文件仍在这个消费者的控制之下的话。但是,你如何知道这种数据是否仍在那个消费者的控制之下呢?法院在类似的情况下指出,服务协议是确定第三方监管的数据是否在创建者的控制之下的起点。因此,在确定一个指定的云计算服务的适应性的时候,服务协议是非常重要的。
  
在最常用的云计算服务中,消费者保留对自己的数据的控制。因此,电子证据义务的范围没有受到影响。然而,云计算服务的应用能够影响到消费者以节省成本和准确的方式满足证据义务要求的能力。例如,消费者不会像了解自己的网络一样拥有云计算服务工作原理的知识,从而有可能降低查找证据的速度和提高这项工作的成本,并且有更高的出现错误的风险。另一个例子,缺乏直接访问云计算硬件的能力以及大多数云计算都缺少透明度可能会使保留和搜集证据信息更加困难。
  
如果一个机构已经在诉讼之中,或者预计未来可能会有诉讼案件,这个机构应该特别谨慎,不要降低对与诉讼有关的ESI(电子化存储的信息)的控制水平。即使预计不会出现具体的诉讼案件,一个云计算服务消费者也应该在选择云计算服务提供商的过程中确定保留、搜索和搜集这种数据的策略。如果有必要,这个厂商在这些证据任务中的合作可以按照服务协议以合同的方式确定义务,并且核实相关的成本。
  
最后,已经通过制定文件保留计划采取步骤减少其证据负担的任何机构都应该保证这个云计算服务能够支持这些努力。如果不应该存在的信息仍在云计算服务中,这个机构减少成本的计划就会受到破坏。
  
2.诉讼当事人能够轻松地在云计算中找到我们的数据吗?
  
当一个机构使用一个云计算服务的时候,它可能创建一个额外的访问其数据的来源。在某种情况下,一个诉讼对手可能会要求云计算提供商直接提供这个机构的数据(或者与记录文件有关数据等信息)作为证据。这种要求在大多数情况下会被拒绝,因为云计算服务的消费者会得到更合适的待遇。然而,向云计算厂商提出的直接证据要求或者发出的传票是获得某些信息的唯一途径。这些信息是不可能通过云计算服务的消费者获得的。例如,根据服务协议的条款,某些与消费者的文件有关的元数据也许是在厂商的控制之下而不是在消费者的控制之下。
  
消费者能够以合同方式委托厂商在收到要求获得消费者的数据的请求或者传票的时候通知它。另一个好主意是授权厂商直接拒绝要求获得这个数据的请求,给消费者一个机会拒绝这个请求,或者至少以保密限制的方式提交那个数据以便保护那个数据。
  
3.如何保护放在云计算中的信息的价值?
  
如果缺少适当的技术和合同的控制,某些放在云计算中的数据的价值会降低,从而导致数据非法泄露给第三方。这种数据的例子包括商业机密和特许的通讯等。把任何数据提供给云计算厂商的权限必须是有限制的。某些最低水平的访问权限是必要的,这样,厂商就能够操作云计算服务。但是,超过这个范围,风险就增加了。允许厂商为了自己的目的(如发布有针对性的广告)访问消费者的数据对于包含敏感数据的应用程序来说是不合适的。
  
内部网络中使用的一些控制措施也应该用于云计算服务中。这些控制措施包括加密和访问控制。但是,要记住,云计算中的安全比内部网络更复杂。内部网络只需要防御外部对网络的攻击。云计算服务必须保护数据安全,既要防止外部人员访问,也要防止这个服务的其他人员和服务提供商自己访问这个数据。
  
4.考虑使用一个云计算服务会违反隐私法吗?
  
在把数据放在云计算服务中的一个限制问题是这个服务是否遵守处理、保留或者传送数据的规定,如《欧洲数据保护指令》的规定。这个规定适用于可能发送的数据。
  
而且,如果这个数据经过采用这种规则的国家,云计算服务的运营可能会无意中使没有处理限制的数据陷入混乱。厂商应该准备好找到它的服务中的数据在什么地方,并且制定一些合同限制条件,防止这个服务以任何不合乎要求的方式传送数据。
  
5.在选择一个服务之后能够采取什么步骤进一步控制风险?
  
实施一个云计算项目是开始一个诉讼准备计划的充分理由,如果你的机构以前没有这个计划的话。放在云计算中的数据应该包括在一个ESI目录中(如一个数据地图)。这样,既可以防止在激烈的诉讼中忽略这个数据库,又可以提供一个方便的流程帮助更有效的和更经济地搜索数据。例如,除了标出云计算库及其内存的存在之外,这个数据地图还应该包含如何收集和保存在那个服务中的数据的具体措施。Goldberg说,如果你按照我的忠告去做,并且在选择一个服务之前搞清楚这个问题,这个步骤应该是很容易的。这个数据地图还应该包含这个服务协议的副本。这个协议将是确定有诉讼有关的义务的核心。如果在搜集证据过程中出现意想不到的错误,消费者可以使用这个数据地图作为其搜集证据的努力的一个合理的证据,从而可以避免最严重的证据处罚。

有许多不同类型的云计算服务,低价格的云计算服务一般对于如何存储和处理数据以及在什么地方存储和处理器仅向消费者提供很少的控制能力,高价的服务向消费者提供许多控制能力。控制机构风险的最佳方法是选择一个适合自己特点需求的云计算服务,以便发现遵守法规的风险,并且提供警示说明指出某些信息完全不属于云计算提供商。